¿Es capaz HTTPS de prevenir el ataque de envenenamiento ARP en LAN?

4

Simulo un ataque de veneno ARP en mi red LAN. En la red tengo 4 dispositivos: víctima, atacante, enrutador y un servidor web.

La víctima intenta iniciar sesión en el sitio web en el servidor web y el atacante escucha el canal entre la víctima y el enrutador.

Podría usar este ataque MiTM con éxito cuando usé HTTP. Configuré mi servidor web apache y proporcionaba HTTPS, pero todavía puedo escuchar en el canal. El candado HTTPS es rojo, por supuesto, debido al certificado, pero dice que la conexión usa TLS 1.2. Entonces, ¿alguien puede dejarme claro?

    
pregunta ampika 17.01.2016 - 12:55
fuente

2 respuestas

3

Le recordaría que un ataque de envenenamiento ARP funciona en la capa 2 OSI, mientras que HTTPS funciona en la capa 5.

O bien, para plantear mejor su problema, su duda parece ser si alguien que escucha la conversación o realiza un ataque MitM (hombre en el medio) puede comprometer la seguridad de una conversación SSL sin que el usuario se dé cuenta.

El ataque de envenenamiento ARP solo altera la ruta predeterminada de los paquetes salientes, ya que las máquinas de ataque envenenan las tablas ARP de las víctimas como posturas como enrutador.

Las tecnologías SSL complican el proxy, pero la hazaña no es imposible. De hecho, algunos productos de seguridad / firewalls corporativos implementan tecnología que básicamente son ataques MitM para poder escuchar diálogos HTTPS y detectar malware.

Para establecer un ataque / proxy MitM exitoso a una sesión protegida por X.509:

. el usuario debe ser lo suficientemente inculto para aceptar un certificado incorrecto; . o tienes que engañar al navegador del usuario porque el certificado es legítimo.

Para ese efecto, o bien busca la colisión HASH en protocolos más antiguos (es decir, es la forma en que se eliminan los certificados SHA-1), o instala un certificado raíz propio en la computadora de la víctima.

En una configuración corporativa, normalmente el AD propaga un certificado raíz para ese efecto. Algunos programas maliciosos son conocidos también por emplear estas técnicas, y al menos un proveedor de hardware y una compañía de AV fueron interrogados por la opinión pública para hacer esto, el primero en poder insertar anuncios en sus páginas, el último para detectar virus en el SO nivel sin utilizar complementos dedicados para el navegador.

Kazajstán llegó a un nivel completamente nuevo y está realizando ataques MitM a nivel de país, a través de una CA raíz obligatoria que debe instalarse en cualquier dispositivo mediante una conexión de telecomunicaciones nacional:

enlace

enlace

Esta técnica en particular genera un certificado válido sobre la marcha para las solicitudes de HTTPS que intercepta, que tiene como raíz la CA RAÍZ instalada en la víctima.

Tienes un hilo slashdot hablando de la técnica aquí: enlace

Un artículo de Sophos que explica cómo funciona el ataque SuperFish en el malware de Lenovo:

enlace

También puedes hacerlo en un sistema Unix:

enlace

  

SSLsplit admite conexiones TCP simples, SSL simples, HTTP y HTTPS   sobre IPv4 y IPv6. Para conexiones SSL y HTTPS, SSLsplit   genera y firma certificados forjados X509v3 sobre la marcha, basados en   el DN original del sujeto del certificado del servidor y subjectAltName   extensión.

Evidentemente, mientras que HTTPS es mejor que nada, no es perfecto. Es mucho más seguro usar VPN cuando se usa Internet en entornos más hostiles, y especialmente en puntos de acceso wifi gratuitos.

Como dato interesante, la aplicación de la ley tiene estaciones de intercepción obligatorias en los principales ISP, con software / interfaces que implementan estos ataques MitM y pueden inyectar ejecutables dañados o actualizaciones falsas del sistema operativo para tomar el control de una computadora víctima, según lo documenta el Manuales de administración / sistema / operadores que fueron filtrados por Snowden o Assange (no puedo recordar)

Enlace al artículo y filtración de manuales en formato PDF

enlace

También, de vez en cuando, verá que los registradores emitirán certificados conocidos como google.com por "error", "pruebas de aprendices" o porque son pirateados. La controversia es que esto socava aún más la seguridad y la confianza de SSL, y no me sorprendería si algunos de esos errores son para ayudar a sus propias fuerzas de seguridad / inteligencia / aplicación de la ley a fisgonear a alguien, por ejemplo, usar google.

    
respondido por el Rui F Ribeiro 17.01.2016 - 13:56
fuente
1

Cuando a un usuario (víctima) se le presenta una advertencia de certificado y este usuario acepta la advertencia de certificado, de hecho podrá realizar un ataque MiTM exitoso.

Cuando el usuario (víctima) acepta su certificado (atacante), puede hacerlo porque tiene la clave privada del certificado.

    
respondido por el Jeroen - IT Nerdbox 17.01.2016 - 13:05
fuente

Lea otras preguntas en las etiquetas